ウェブセキュリティを高めようとするGoogleの最近の試みは、「Android」や「Chrome」の修正ではなく、最新のゼロデイの脅威が悪用される前に記録化して阻止するウェブ全域での取り組みである「Project Zero」だ。
ゼロデイ攻撃は、過去に知られておらず修正パッチが提供されていないプログラミング上の不具合を狙うものだ。こうした脆弱性は、ウェブサイトやソフトウェアなど、基本的にプログラミングコードで書かれたものであれば、あらゆる場所で見つかる可能性がある。
Project Zeroを発表した米国時間7月15日のブログ投稿でGoogleのセキュリティエンジニアであるChris Evans氏が述べたように、ゼロデイは、人権活動家への攻撃や産業スパイ活動のほか、通信の監視、消費者のクレジットカード情報へのアクセス、大小さまざまなウェブサイトに含まれる詳細な個人情報が詰まったデータベースの窃盗にも利用されている。
Project Zeroのゼロデイに対する取り組みは、2つの柱からなっている。Project Zeroによって、バグハンティングに関する広い権限を持つえり抜きのセキュリティ研究者で構成されるチームがGoogle内に設けられる。Evans氏は、米CNETに対して、Project Zeroが「世界で最も優れたセキュリティ研究者」に常勤のポジションを与えていることにおいて、Hewlett-PackardのZero-Day Initiative(ZDI)のようなゼロデイプロジェクトと異なっていると述べた。
また、Project Zeroは、ゼロデイバグのパブリックデータベースを作成することも目指す。このゼロデイバグは、第三者には連絡されず、まずソフトウェアベンダーだけに報告される。Evans氏によると、同プロジェクトでは「可能な限りリアルタイムに近い」タイミングでベンダーに通知し、協力してパッチを準備したいと考えているという。パッチが入手可能になった時点で初めて、Googleはバグを報告する。これは、「責任ある開示」として知られるバグハンティング業界の標準慣行だ。
「われわれの目的は、標的型攻撃の被害を受ける人の数を大幅に減らすことだ。われわれは、現実的に物事を考える最高のセキュリティ研究者を採用して、フルタイムでインターネットセキュリティの向上に貢献してもらう」(Evans氏)
Evans氏によると、Project Zeroの起源は、Googleの従業員らが行っている一種のパートタイムのセキュリティ調査にあるという。こうした調査は、「Heartbleed Bug」を共同で発見することにもつながった。
Evans氏はさらに、Project Zeroがバグ追跡における積年の難題にも狙いを定めると述べた。セキュリティ研究者らはProject Zeroのデータベースを利用して、ベンダーによる修理時間のパフォーマンスを監視したり、悪用可能性に関する議論をさかのぼって読んだり、悪用履歴を研究したり、クラッシュを追跡したりできるようになる。
絶え間ないゼロデイ問題への対策を改善しようとする技術業界の試みは、Project Zeroの前にも例がある。ZDIは、2005年以降、検証可能なゼロデイの悪用の報告に対しては金銭的報酬を与えているほか、研究者を対象に、制限時間内に悪用を実証する年次コンテストを運営している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」